Suscríbete aquí al boletín informativo del Brennan Center en español
- El DOJ no ha brindado ninguna garantía detallada que explique cómo protegerá la información privada y sensible de toda la ciudadanía estadounidense.
- Según la ley federal y muchas leyes estatales, las autoridades electorales estatales deben proteger la seguridad de la información sobre el registro de sus ciudadanos votantes.
Desde la primavera de 2025, el Departamento de Justicia (DOJ, por su sigla en inglés) ha estado intentando obtener los padrones electorales de todas las personas votantes de la nación. Esa lucha ha llegado a la justicia, donde el DOJ ha presentado demandas judiciales contra 24 estados desde septiembre.
Cabe destacar que la mayoría de esos estados ya le han provisto información de dominio público sobre el registro de sus votantes, pero el DOJ ha exigido acceso a los padrones completos y sin editar, que contienen información personal sensible, como los números de licencia de conducir y de seguridad social del electorado.
Gran parte de esta controversia se ha centrado en los distintos argumentos jurídicos sobre por qué el DOJ no tiene derecho a recabar esta información, por ejemplo, el requisito de la Ley de Derechos Civiles (Civil Rights Act) de explicitar la justificación y propósito de esa información, las disposiciones de la Ley de Privacidad (Privacy Act) y las violaciones a las leyes estatales. Pero hay otra razón menos conocida: el DOJ no ha brindado ninguna garantía detallada que explique cómo protegerá la información privada y sensible de toda la ciudadanía estadounidense y parece estar ignorando las leyes federales que lo obligan a hacerlo.
Según la ley federal y muchas leyes estatales, las autoridades electorales estatales deben proteger la seguridad de la información sobre el registro de sus ciudadanos votantes. En el ámbito federal, la Ley Ayudar a América a Votar (Help America Vote Act, HAVA) les exige a las autoridades electorales locales y estatales tomar las “medidas de seguridad tecnológicas adecuadas” para proteger las bases de datos estatales de registro de los votantes. Los estados determinan cómo cumplen con este requisito y también pueden requerir una protección más estricta que la especificada por las normas mínimas de la ley HAVA.
Las leyes federales también obligan al gobierno federal a tomar ciertas medidas para garantizar la seguridad de toda la información sensible que recolecta y almacena. La Ley Federal de Modernización de la Seguridad de la Información (Federal Information Security Modernization Act, FISMA) estipula que las agencias gubernamentales federales y sus contratistas deben diseñar y poner en práctica programas de seguridad de la información para proteger sus sistemas informáticos y la información que allí almacenan.
El nivel de protección dispuesto por la ley depende de los riesgos que impliquen los datos en cuestión y debe basarse en las normas federales obligatorias. La ley FISMA también requiere que las agencias federales monitoreen con regularidad sus propios programas de seguridad de la información y los de sus contratistas.
En teoría, las leyes HAVA, FISMA y las leyes estatales deberían garantizar la seguridad de toda la información sensible sobre el registro de los votantes. Desafortunadamente, la realidad parece ser otra. El acuerdo que ha propuesto el DOJ sobre la transferencia de los datos de los estados, que contienen información sensible sobre el registro de votantes, es ambiguo en cuanto a sus planes de seguridad y, cuando sí enumera esos planes, es también deplorablemente deficiente. Un análisis reciente detalla las deficiencias en materia de seguridad de la información. Esta falta de protección da miedo.
Entre las varias carencias de seguridad, se pueden enumerar las siguientes:
- Los datos tienen una encriptación inadecuada, es decir, la conversión de la información sobre el registro de votantes en un código indescifrable no es la correcta. Tener una encriptación inadecuada significa que un hacker puede acceder fácilmente a los datos personales del electorado.
- No hay suficientes controles de acceso ni de minimización de los datos. El acuerdo permite el acceso a los datos mediante una contraseña, en lugar de requerir también la autenticación multifactor. Tampoco restringe el intercambio de datos más allá del propósito establecido para su recopilación.
- El DOJ no ha explicado cómo se asegurará de realizar la investigación de los antecedentes de sus contratistas, con los que tiene planes explícitos de compartir los datos, y cómo se asegurará de que ellos se comprometan a salvaguardar la información privada del electorado, tal como lo exigen las leyes federales.
- No hay ningún análisis de registro de auditoría ni ningún proceso de notificación establecido. Nadie va a revisar ni analizar quiénes acceden a los datos; por lo tanto, nadie podrá detectar cualquier problema que surja. En caso de que el DOJ detecte algún problema, como un acceso no autorizado a la información u otras filtraciones de datos, no hay ningún plazo de tiempo requerido para notificar los problemas a los estados afectados.
- El DOJ planea “archivar” y almacenar los datos después de sus análisis, en lugar de destruirlos. El archivo de estos datos creará un registro federal permanente con información sensible de todo el electorado, que siempre estará disponible.
Estas deficiencias en materia de ciberseguridad exacerban lo que se conoce como el efecto mosaico. Las listas de registro de votantes contienen cantidades importantes de información sobre cada persona votante: ciertas combinaciones de su nombre, dirección residencial, fecha de nacimiento, número de licencia de conducir, número completo o parcial de seguridad social, dirección de correo electrónico, número de teléfono, fecha de registro como votante, estatus de registro, historial de votación y partido político.
La recopilación de tantos datos sobre el registro de las personas votantes, combinados con otros tipos de información disponible de data brokers comerciales, infiltraciones de datos financieros y bases de datos federales, ofrece un sitio centralizado de fácil ataque para los actores dañinos.
La posible filtración de estos datos plantea, al menos, tres riesgos. Primero, el efecto mosaico le permitiría a un actor dañino usar la información de cualquier votante para robarle su identidad.
Segundo, al infiltrar información sobre una violación de seguridad exitosa, cualquier nación adversaria podría aprovecharse de esos datos recopilados para sembrar el miedo, reafirmar su poder y debilitar la confianza del público en nuestro gobierno.
Tercero, cualquier actor dañino podría usar esa información para eliminar determinados nombres de las listas de registro de votantes sin ser detectado fácil o rápidamente.
Dados los ejemplos recientes de una seguridad o manejo deficientes de la información por parte de varias agencias federales, no es seguro confiar ciegamente en los procesos del DOJ. En 2025, un grupo de empleados de una agencia federal cargaron indebidamente datos confidenciales de la Administración del Seguro Social a un servidor privado no autorizado y firmaron un “acuerdo sobre los datos de los votantes” para transferir esa información a un grupo activista político que buscaba pruebas de un presunto fraude electoral y quería anular los resultados de las elecciones.
El director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por su sigla en inglés), una agencia creada para “defender y garantizar la seguridad del ciberespacio”, cargó archivos sensibles de la agencia en una versión pública de ChatGPT, con lo cual le permitió a OpenAI usar esa información para responder preguntas de cualquiera de los más de 700 millones de usuarios activos que tiene la compañía. Y el líder del Grupo de Trabajo de Instrumentalización Política del propio DOJ, establecido bajo el mando de la actual fiscal general para inspeccionar las actividades de las personas que habían investigado o demandado al presidente y sus empresas, infiltró material de un gran jurado.
Proteger a su ciudadanía debería ser el sello característico de todo gobierno. Dada la obligación de los funcionarios estatales de proteger la información sensible de su electorado, la clara falta de medidas de seguridad adecuadas del DOJ, tal como lo exigen las leyes federales, es una más de las muchas razones por las que los estados deben resistirse al intento de recopilar los datos de registro de las personas votantes a lo ancho del país.
Traducción de Ana Lis Salotti
